Articolo 40 Codici di condotta

lass=level5> 1.   Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

lass="normal">2.   le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del presente regolamento, ad esempio relativamente a:

le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">a)

lign="top">

lass="normal">il trattamento corretto e trasparente dei dati;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">b)

lign="top">

lass="normal">i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">c)

lign="top">

lass="normal">la raccolta dei dati personali;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">d)

lign="top">

lass="normal">la pseudonimizzazione dei dati personali;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">e)

lign="top">

lass="normal">l'informazione fornita al pubblico e agli interessati;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">f)

lign="top">

lass="normal">l'esercizio dei diritti degli interessati;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">g)

lign="top">

lass="normal">l'informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">h)

lign="top">

lass="normal">le misure e le procedure di cui agli le='articoli' >articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all'le='articoli' >le='articoli' >articolo 32;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">i)

lign="top">

lass="normal">la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all'interessato;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">j)

lign="top">

lass="normal">il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">k)

lign="top">

lass="normal">le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli le='articoli' >articoli 77 e 79.

le>

lass="normal">3.   Oltre all'adesione ai codici di condotta approvati ai sensi del paragrafo 5 del presente articolo e aventi validità generale a norma del paragrafo 9 del presente articolo da parte di titolari o responsabili soggetti al presente regolamento, possono aderire a tali codici di condotta anche i titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento ai sensi dell'le='articoli' >articolo 3, al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all'le='articoli' >articolo 46, paragrafo 2, lettera e). Detti titolari del trattamento o responsabili del trattamento assumono l'impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.

lass="normal">4.   Il codice di condotta di cui al paragrafo 2 del presente articolo contiene i meccanismi che consentono all'organismo di cui all'le='articoli' >articolo 41, paragrafo 1, di effettuare il controllo obbligatorio del rispetto delle norme del codice da parte dei titolari del trattamento o dei responsabili del trattamento che si impegnano ad applicarlo, fatti salvi i compiti e i poteri delle autorità di controllo competenti ai sensi degli le='articoli' >articoli 55 o 56.

lass="normal">5.   le associazioni e gli altri organismi di cui al paragrafo 2 del presente articolo che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all'autorità di controllo competente ai sensi dell'le='articoli' >articolo 55. l'autorità di controllo esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate.

lass="normal">6.   Qualora il progetto di codice, la modifica o la proroga siano approvati ai sensi dell'le='articoli' >articolo 55, e se il codice di condotta in questione non si riferisce alle attività di trattamento in vari Stati membri, l'autorità di controllo registra e pubblica il codice.

lass="normal">7.   Qualora il progetto di codice di condotta si riferisca alle attività di trattamento in vari Stati membri, prima di approvare il progetto, la modifica o la proroga, l'autorità di controllo che è competente ai sensi dell'le='articoli' >articolo 55 lo sottopone, tramite la procedura di cui all'le='articoli' >articolo 63, al comitato, il quale formula un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga o, nel caso di cui al paragrafo 3 del presente articolo, sulla previsione di adeguate garanzie.

lass="normal">8.   Qualora il parere di cui al paragrafo 7 confermi che il progetto di codice di condotta, la modifica o la proroga è conforme al presente regolamento o, nel caso di cui al paragrafo 3, fornisce adeguate garanzie, il comitato trasmette il suo parere alla Commissione.

lass="normal">9.   la Commissione può decidere, mediante atti di esecuzione, che il codice di condotta, la modifica o la proroga approvati, che le sono stati sottoposti ai sensi del paragrafo 8 del presente articolo, hanno validità generale all'interno dell'Unione. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.

lass="normal">10.   la Commissione provvede a dare un'adeguata pubblicità dei codici approvati per i quali è stata decisa la validità generale ai sensi del paragrafo 9.

lass="normal">11.   Il comitato raccoglie in un registro tutti i codici di condotta, le modifiche e le proroghe approvati e li rende pubblici mediante mezzi appropriati.

lass=>

lass=level5> 1.   Fatti salvi i compiti e i poteri dell'autorità di controllo competente di cui agli le='articoli' >articoli 57 e 58, il controllo della conformità con un codice di condotta ai sensi dell'le='articoli' >articolo 40 può essere effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell'autorità di controllo competente.

lass="normal">2.   l'organismo di cui al paragrafo 1 può essere accreditato a monitorare l'osservanza di un codice di condotta se esso ha:

le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">a)

lign="top">

lass="normal">dimostrato in modo convincente all'autorità di controllo competente di essere indipendente e competente riguardo al contenuto del codice;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">b)

lign="top">

lass="normal">istituito procedure che gli consentono di valutare l'ammissibilità dei titolari del trattamento e dei responsabili del trattamento in questione ad applicare il codice, di controllare che detti titolari e responsabili ne rispettino le disposizioni e di riesaminarne periodicamente il funzionamento;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">c)

lign="top">

lass="normal">istituito procedure e strutture atte a gestire i reclami relativi a violazioni del codice o il modo in cui il codice è stato o è attuato da un titolare del trattamento o un responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">d)

lign="top">

lass="normal">dimostrato in modo convincente all'autorità di controllo competente che i compiti e le funzioni da esso svolti non danno adito a conflitto di interessi.

le>

lass="normal">3.   l'autorità di controllo competente presenta al comitato il progetto di criteri per l'accreditamento dell'organismo di cui al paragrafo 1 del presente articolo, ai sensi del meccanismo di coerenza di cui all'le='articoli' >articolo 63.

lass="normal">4.   Fatti salvi i compiti e i poteri dell'autorità di controllo competente e le disposizioni del capo VIII, un organismo di cui al paragrafo 1 del presente articolo adotta, stanti garanzie appropriate, le opportune misure in caso di violazione del codice da parte di un titolare del trattamento o responsabile del trattamento, tra cui la sospensione o l'esclusione dal codice del titolare del trattamento o del responsabile del trattamento. Esso informa l'autorità di controllo competente di tali misure e dei motivi della loro adozione.

lass="normal">5.   l'autorità di controllo competente revoca l'accreditamento dell'organismo di cui al paragrafo 1, se le condizioni per l'accreditamento non sono, o non sono più, rispettate o se le misure adottate dall'organismo violano il presente regolamento.

lass="normal">6.   Il presente articolo non si applica al trattamento effettuato da autorità pubbliche e da organismi pubblici.

lass=>

lass=level5> 1.   Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.

lass="normal">2.   Oltre all'adesione dei titolari del trattamento o dei responsabili del trattamento soggetti al presente regolamento, i meccanismi, i sigilli o i marchi approvati ai sensi del paragrafo 5 del presente articolo, possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento non soggetti al presente regolamento ai sensi dell'le='articoli' >articolo 3, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all'le='articoli' >articolo 46, paragrafo 2, lettera f). Detti titolari del trattamento o responsabili del trattamento assumono l'impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.

lass="normal">3.   la certificazione è volontaria e accessibile tramite una procedura trasparente.

lass="normal">4.   la certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli le='articoli' >articoli 55 o 56.

lass="normal">5.   la certificazione ai sensi del presente articolo è rilasciata dagli organismi di certificazione di cui all'le='articoli' >articolo 43 o dall'autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell'le='articoli' >articolo 58, paragrafo 3, o dal comitato, ai sensi dell'le='articoli' >articolo 63. Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati.

lass="normal">6.   Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione fornisce all'organismo di certificazione di cui all'le='articoli' >articolo 43 o, ove applicabile, all'autorità di controllo competente tutte le informazioni e l'accesso alle attività di trattamento necessarie a espletare la procedura di certificazione.

lass="normal">7.   la certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti. la certificazione è revocata, se del caso, dagli organismi di certificazione di cui all'le='articoli' >articolo 43 o dall'autorità di controllo competente, a seconda dei casi, qualora non siano o non siano più soddisfatti i requisiti per la certificazione.

lass="normal">8.   Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.

lass=>

lass=level5> 1.   Fatti salvi i compiti e i poteri dell'autorità di controllo competente di cui agli le='articoli' >articoli 57 e 58, gli organismi di certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e rinnovano la certificazione, dopo averne informato l'autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri a norma dell'le='articoli' >articolo 58, paragrafo 2, lettera h), ove necessario. Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi:

le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">a)

lign="top">

lass="normal">dall'autorità di controllo competente ai sensi degli le='articoli' >articoli 55 o 56;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">b)

lign="top">

lass="normal">dall'organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (lass="super">20) conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall'autorità di controllo competente ai sensi degli le='articoli' >articoli 55 o 56.

le>

lass="normal">2.   Gli organismi di certificazione di cui al paragrafo 1 sono accreditati in conformità di tale paragrafo solo se:

le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">a)

lign="top">

lass="normal">hanno dimostrato in modo convincente all'autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">b)

lign="top">

lass="normal">si sono impegnati a rispettare i criteri di cui all'le='articoli' >articolo 42, paragrafo 5, e approvati dall'autorità di controllo competente ai sensi degli le='articoli' >articoli 55 o 56 o dal comitato, ai sensi dell'le='articoli' >articolo 63;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">c)

lign="top">

lass="normal">hanno istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati;

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">d)

lign="top">

lass="normal">hanno istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione è stata o è attuata dal titolare del trattamento o dal responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e

le> le width="100%" border="0" cellspacing="0" cellpadding="0"> l width="4%"/> l width="96%"/> lign="top">

lass="normal">e)

lign="top">

lass="normal">hanno dimostrato in modo convincente all'autorità di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conflitto di interessi.

le>

lass="normal">3.   l'accreditamento degli organi di certificazione di cui ai paragrafi 1 e 2 del presente articolo ha luogo in base ai criteri approvati dall'autorità di controllo competente ai sensi degli le='articoli' >articoli 55 o 56 o dal comitato, ai sensi dell'articolo 63. In caso di accreditamento ai sensi del paragrafo 1, lettera b), del presente articolo, tali requisiti integrano quelli previsti dal regolamento (CE) n. 765/2008 nonché le norme tecniche che definiscono i metodi e le procedure degli organismi di certificazione.

lass="normal">4.   Gli organismi di certificazione di cui al paragrafo 1 sono responsabili della corretta valutazione che comporta la certificazione o la revoca di quest'ultima, fatta salva la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento. l'accreditamento è rilasciato per un periodo massimo di cinque anni e può essere rinnovato alle stesse condizioni purché l'organismo di certificazione soddisfi i requisiti.

lass="normal">5.   l'organismo di certificazione di cui al paragrafo 1 trasmette all'autorità di controllo competente i motivi del rilascio o della revoca della certificazione richiesta.

lass="normal">6.   I requisiti di cui al paragrafo 3 del presente articolo e i criteri di cui all'le='articoli' >articolo 42, paragrafo 5, sono resi pubblici dall'autorità di controllo in forma facilmente accessibile. le autorità di controllo provvedono a trasmetterli anche al comitato. Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.

lass="normal">7.   Fatto salvo il capo VIII, l'autorità di controllo competente o l'organismo nazionale di accreditamento revoca l'accreditamento di un organismo di certificazione di cui al paragrafo 1 del presente articolo, se le condizioni per l'accreditamento non sono, o non sono più, rispettate o se le misure adottate da un organismo di certificazione violano il presente regolamento.

lass="normal">8.   Alla Commissione è conferito il potere di adottare atti delegati conformemente all'le='articoli' >articolo 92 al fine di precisare i requisiti di cui tenere conto per i meccanismi di certificazione della protezione dei dati di cui all'le='articoli' >articolo 42, paragrafo 1.

lass="normal">9.   la Commissione può adottare atti di esecuzione per stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati e le modalità per promuovere e riconoscere tali meccanismi di certificazione, i sigilli e marchi di protezione dei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.

lass=>